第一篇：A市政府網(wǎng)絡(luò)安全與網(wǎng)站防護(hù)解決方案

【說明】（1）這是《中小企業(yè)虛擬機(jī)解決方案》一書中部分章節(jié)的摘抄。該書預(yù)計(jì)于2009年12月初由《電子工業(yè)出版社》出版，敬請(qǐng)期待！

（2）以本方案為藍(lán)本的方案：《A市政府網(wǎng)絡(luò)安全與網(wǎng)站防護(hù)解決方案》參加華碩服務(wù)器第四屆IT硬件平臺(tái)搭建大賽獲得三等獎(jiǎng)。概述

根據(jù)CNCERT/CC（國(guó)家互聯(lián)網(wǎng)應(yīng)急中心）的2月份發(fā)布的統(tǒng)計(jì)報(bào)告，2009年1月1日至31日，我國(guó)大陸地區(qū)被篡改網(wǎng)站的數(shù)量為3792個(gè)，較2008年12月的1693個(gè)增長(zhǎng)了124%，其中代號(hào)為“

如果上面的數(shù)據(jù)，表達(dá)不了網(wǎng)站被攻擊的嚴(yán)重性，那么，CNCERT/CC的2008年7月份的統(tǒng)計(jì)報(bào)告很說明問題，大約平均每5個(gè)政府網(wǎng)站，就有一個(gè)網(wǎng)站被黑！而且，近年來，網(wǎng)站被篡改的數(shù)目仍然以每年2～3倍的速度在不斷遞增。

根據(jù)這些材料可以知道，網(wǎng)站被篡改、被攻擊的數(shù)量是非常大的，并且遞增的數(shù)目也是比較快的。A市政府網(wǎng)站，在近期被黑客篡改頁面的情況多有發(fā)生，即影響了政府形象，也給廣大市民帶來不便。怎樣對(duì)政府網(wǎng)站進(jìn)行安全防護(hù)，是市政府信息中心所面臨的首要任務(wù)。

同時(shí)，政府現(xiàn)在有300多臺(tái)計(jì)算機(jī)上網(wǎng)，雖然有網(wǎng)通、電信寬帶接入互聯(lián)網(wǎng)，但由于各種問題，終端上網(wǎng)速度很多，每天網(wǎng)絡(luò)中斷兩、三次，只能重新啟動(dòng)交換機(jī)、路由器才能重新上網(wǎng)，但過幾個(gè)小時(shí)，問題會(huì)再次出現(xiàn)，單位網(wǎng)絡(luò)辦公的環(huán)境也需要改造。

信息中心要求，在不改變現(xiàn)有網(wǎng)站的維護(hù)方式的前提下，對(duì)網(wǎng)站進(jìn)行安全防護(hù)，防止網(wǎng)站再次被黑；在不改變現(xiàn)有上網(wǎng)設(shè)置的情況下，改變整個(gè)網(wǎng)絡(luò)的上網(wǎng)環(huán)境、避免再次出現(xiàn)整個(gè)網(wǎng)絡(luò)癱瘓。經(jīng)過實(shí)地考察，并與信息中心溝通，決定采購兩臺(tái)華碩服務(wù)器、一套ISA Server防火墻軟件與Windows Server 2003，對(duì)現(xiàn)在網(wǎng)絡(luò)、網(wǎng)站進(jìn)行改造。其中一臺(tái)服務(wù)器采用華碩TS300-E5，配置2GB內(nèi)存、單塊SATA硬盤、4個(gè)集成Broadcom BCM5721 PCI-E千兆網(wǎng)卡；另一臺(tái)服務(wù)器采用華碩TS700-E4，配置16GB內(nèi)存、1個(gè)4核Intel處理器、6塊SAS硬盤（其中5塊硬盤做RAID5、1塊硬盤備用）、集成雙千兆網(wǎng)卡、雙電源。政府網(wǎng)絡(luò)現(xiàn)狀與用戶需求

A市信息中心是正科級(jí)全額撥款事業(yè)單位，掛靠A市政府辦公室，負(fù)責(zé)全市信息化建設(shè)的規(guī)劃、指導(dǎo)和組織工作，主要承擔(dān)全市電子政務(wù)的建設(shè)和管理工作。目前，A市信息中心的內(nèi)網(wǎng)上接市委、市政府，下聯(lián)市直80多個(gè)部門、10多個(gè)鄉(xiāng)鎮(zhèn)、經(jīng)濟(jì)技術(shù)開發(fā)區(qū)。

為方便市領(lǐng)導(dǎo)上互聯(lián)網(wǎng)的需要，信息中心還向網(wǎng)通、電信各申請(qǐng)了20M互聯(lián)網(wǎng)帶寬，通過雙WAN口路由器，實(shí)現(xiàn)網(wǎng)通、電信雙線路負(fù)載平衡。為了方便網(wǎng)上辦公和網(wǎng)上審批工作，每個(gè)部門都建立了自己的局域網(wǎng)，全市辦公內(nèi)網(wǎng)的微機(jī)保有量約2000臺(tái)以上，A市的信息化應(yīng)用水平在石家莊市各縣市區(qū)中一直名列前茅。

目前，A市政府信息化應(yīng)用水平較高，有辦公自動(dòng)化系統(tǒng)、政府網(wǎng)站、市委網(wǎng)站、各個(gè)鄉(xiāng)鎮(zhèn)、市直機(jī)關(guān)網(wǎng)站、互聯(lián)審批、審計(jì)系統(tǒng)，這些系統(tǒng)分別運(yùn)行在機(jī)房的多臺(tái)服務(wù)器上。這些服務(wù)器，有的是一些品牌機(jī)服務(wù)器，有些是組裝的服務(wù)器，配置比較低、沒有提供數(shù)據(jù)的冗余與備份功能，從長(zhǎng)遠(yuǎn)角度來看，存在安全隱患。

從今年開始，政府網(wǎng)站被黑客篡改首頁多次，并且修改的次數(shù)越來越多、間隔越來越短。每次黑客修改網(wǎng)頁后，只能通過備份恢復(fù)，有的黑客向網(wǎng)頁中嵌入廣告代碼，信息中心人員只能一個(gè)一個(gè)網(wǎng)頁檢查、然后刪除這些廣告代碼，給政府網(wǎng)站對(duì)外宣傳帶來了負(fù)面影響，也給信息中心人員的管理人員帶來了壓力。

同時(shí)，隨著近幾年來，網(wǎng)上辦公的興起，政府樓內(nèi)接入網(wǎng)絡(luò)的計(jì)算機(jī)越來越多，另外，隨著職工使用計(jì)算機(jī)水平的提高，管理難度越來越大。這直接表現(xiàn)為許多人在上班時(shí)間聊天、下載電影、玩游戲，占用了網(wǎng)絡(luò)帶寬，導(dǎo)致上網(wǎng)越來越慢。在每天上網(wǎng)高峰的時(shí)期（上午10點(diǎn)半左右、下午3點(diǎn)左右），網(wǎng)絡(luò)緩慢的幾近打不開網(wǎng)頁，只能通過重新啟動(dòng)交換機(jī)、雙WAN口路由器的方式，恢復(fù)網(wǎng)絡(luò)連接。

另外，當(dāng)每次大規(guī)模的病毒爆發(fā)時(shí)，例如以前的“熊貓燒香”病毒、沖擊波病毒、ARP病毒，都會(huì)導(dǎo)致整個(gè)網(wǎng)絡(luò)癱瘓。

市政府信息中心對(duì)外面臨政府網(wǎng)站被黑客攻擊、修改頁面，對(duì)內(nèi)面臨整個(gè)單位局域網(wǎng)網(wǎng)絡(luò)速度緩慢、整個(gè)單位辦公用計(jì)算機(jī)經(jīng)常感染木馬、病毒需要重新安裝系統(tǒng)等諸多壓力，可以說，整個(gè)網(wǎng)絡(luò)安全狀態(tài)已經(jīng)到了不得不改的情況。

政府信息中心的需求主要包括以下幾個(gè)方面：

ü 保護(hù)政府網(wǎng)站不被黑客入侵。

ü 解決局域網(wǎng)上網(wǎng)速度慢的問題。

ü 解決整個(gè)網(wǎng)絡(luò)經(jīng)常感染木馬、病毒的問題。

ü 減輕信息中心人員負(fù)擔(dān)。方案設(shè)計(jì)

在方案設(shè)計(jì)之前，需要詳細(xì)的了解現(xiàn)有網(wǎng)絡(luò)的狀況。經(jīng)過信息中心人員進(jìn)行介紹，并經(jīng)過實(shí)際考察，畫出A市政府現(xiàn)有網(wǎng)絡(luò)的拓?fù)鋱D，如圖1所示。

圖1 A市政府網(wǎng)絡(luò)拓?fù)?/p>

A市政府各有20M光纖分別接電信、網(wǎng)通（現(xiàn)聯(lián)通）訪問Internet，這兩條光纖通過“光纖收發(fā)器”轉(zhuǎn)成RJ45網(wǎng)線，接在一個(gè)雙WAN口的路由器上，用做代理服務(wù)器。該雙WAN口路由器LAN口接到三層交換機(jī)上，三層交換機(jī)劃分了多個(gè)VLAN，每個(gè)樓層屬于一個(gè)VLAN，并且在每個(gè)樓層都有一個(gè)普通的交換機(jī)。政府網(wǎng)站與OA服務(wù)器在同一臺(tái)服務(wù)器上，直接接到三層交換機(jī)上。在雙WAN口路由器上映射了一個(gè)外網(wǎng)地址的TCP的80端口到政府網(wǎng)站與OA服務(wù)器的IP地址（192.168.1.8），Internet上的用戶通過政府網(wǎng)站域名訪問，政府內(nèi)的人員都是直接使用IP地址192.168.1.8訪問政府網(wǎng)站，信息中心工作人員是使用19

2.168.1.8來訪問與維護(hù)網(wǎng)站、更新網(wǎng)站內(nèi)容。

3.1 網(wǎng)站頻繁被黑的原因與解決對(duì)策

經(jīng)過分析，發(fā)現(xiàn)網(wǎng)站頻繁被黑的原因可能如下：

ü 操作系統(tǒng)漏洞：網(wǎng)站服務(wù)器的操作系統(tǒng)是Windows 2000 Server，雖然現(xiàn)在Windows Server 2008已經(jīng)發(fā)布，Windows Server 2003應(yīng)用也很成熟，但由于各種原因，服務(wù)器操作系統(tǒng)一直沒有升級(jí)，另外，也沒有及時(shí)的更新各種補(bǔ)丁。

ü 數(shù)據(jù)庫漏洞：數(shù)據(jù)庫使用的是SQL Server 2000，同樣，也沒有打補(bǔ)丁。

ü 網(wǎng)站代碼漏洞：政府網(wǎng)站，是由信息中心的人員，在2001年左右，在網(wǎng)上下載的代碼的基礎(chǔ)上，修改成的。由于開始的時(shí)候，網(wǎng)站被攻擊的事情很少發(fā)生，所以，信息中心的人員忽視了這方面的情況。這些網(wǎng)站代碼中，存在SQL Server注入漏洞、文件上傳漏洞、Shell漏洞等，而后臺(tái)管理密碼也是比較簡(jiǎn)單。

針對(duì)網(wǎng)站被黑的原因后，首先提出如下的解決方法：

ü 及時(shí)更新操作系統(tǒng)補(bǔ)丁與數(shù)據(jù)庫的補(bǔ)丁。

ü 升級(jí)操作系統(tǒng)與數(shù)據(jù)庫：由于Microsoft已經(jīng)不對(duì)Windows 2000與SQL Server提供支持，建議將將Windows 2000 Server升級(jí)到Windows Server 2003，將SQL Server 2000升級(jí)到SQL Server 2005。

ü 修改網(wǎng)站代碼，避免SQL Server注入漏洞、文件上傳漏洞與Shell漏洞。

雖然知道需要修改網(wǎng)站代碼防止網(wǎng)站被黑，但實(shí)際上，政府網(wǎng)站已經(jīng)使用多年，短期內(nèi)對(duì)政府網(wǎng)站做大的修改不容易實(shí)現(xiàn)，只能通過其他的技術(shù)手段來保護(hù)網(wǎng)站。考慮到政府網(wǎng)站是在局域網(wǎng)內(nèi)由信息中心人員維護(hù)的特點(diǎn)，決定采用如下的技術(shù)措施：

將政府網(wǎng)站分成兩個(gè)相同的站點(diǎn)，一個(gè)站點(diǎn)用于對(duì)外發(fā)布，供市民、網(wǎng)民通過Internet瀏覽、查看內(nèi)容，另一個(gè)網(wǎng)站專門用于信息中心人員維護(hù)，該網(wǎng)站只能通過內(nèi)網(wǎng)訪問，這兩個(gè)網(wǎng)站使用同一個(gè)數(shù)據(jù)庫。而發(fā)布到Internet上的網(wǎng)站，其采用的SQL Server用戶名密碼只能“瀏覽”訪問網(wǎng)站SQL Server數(shù)據(jù)庫，而用于內(nèi)網(wǎng)維護(hù)的網(wǎng)站，其采用的SQL Server用戶對(duì)政府網(wǎng)站數(shù)據(jù)庫有“完全控制”的權(quán)限。另外，在雙WAN口路由器與三層交換機(jī)之間，增加一級(jí)代理服務(wù)器，采用ISA Server做軟件防火墻與代理服務(wù)器，用ISA Server的“簽名”等功能，通過過濾關(guān)鍵字的功能，防止文件上傳漏洞、Shell漏洞等。

3.2 內(nèi)網(wǎng)速度慢的原因與解決方法

對(duì)于局域網(wǎng)內(nèi)，計(jì)算機(jī)速度慢、網(wǎng)絡(luò)速度慢、經(jīng)常感染病毒等問題，簡(jiǎn)單來說，如果升級(jí)計(jì)算機(jī)的配置、增加出口帶寬的速度，是可以解決問題。但是，這些都是不現(xiàn)實(shí)的，另外，這也不是解決問題的根本方法，即使用這種方法解決了現(xiàn)在的問題，但過段時(shí)間，同樣的問題仍然會(huì)繼續(xù)。在用戶現(xiàn)場(chǎng)，經(jīng)過進(jìn)一步分析、調(diào)查與判斷，得到如下的結(jié)果：

（1）內(nèi)存不足導(dǎo)致運(yùn)行緩慢。

大多數(shù)的計(jì)算機(jī)內(nèi)存都比較小，主要是256MB內(nèi)存。而殺毒軟件，大多數(shù)用戶使用的是“瑞星”，不可否認(rèn)，瑞星殺毒軟件占的資源比較大，在現(xiàn)在主流操作系統(tǒng)是Windows XP SP2的情況下，安裝瑞星占用的資源相對(duì)比較大。在安裝了操作系統(tǒng)、瑞星殺毒軟件，與常用的辦公軟件，例如Office、WPS后，系統(tǒng)內(nèi)存占用的資源已經(jīng)到了170多MB，在打開網(wǎng)頁時(shí)，由于現(xiàn)在網(wǎng)頁中圖片、廣告很大，IE瀏覽器少則會(huì)占用30MB、多則占用幾百M(fèi)B甚至上GB的內(nèi)存，當(dāng)主機(jī)內(nèi)存不夠的情況下，會(huì)使用硬盤空間作為交換分區(qū)（虛擬內(nèi)存），這樣就造成了計(jì)算機(jī)速度變慢。

（2）病毒占用系統(tǒng)資源。

許多計(jì)算機(jī)沒有打“補(bǔ)丁”，在瀏覽一些網(wǎng)頁時(shí)，感染了木馬或蠕蟲病毒，有的計(jì)算機(jī)感染了ARP病毒，所以在計(jì)算機(jī)啟動(dòng)的時(shí)候，這些木馬或蠕蟲，試圖通過網(wǎng)絡(luò)感染給其他計(jì)算機(jī)、或者試圖連接廣告站點(diǎn)，占用了系統(tǒng)資源，這是計(jì)算機(jī)啟動(dòng)慢、反應(yīng)慢的最主要原因。

（3）帶寬被占拖慢網(wǎng)速。

單位提供4MB帶寬，本來是為單位上網(wǎng)（瀏覽網(wǎng)頁）、收發(fā)郵件等正常辦公使用，但近一兩年來，許多用戶使用計(jì)算機(jī)“水平”越來越高，一些員工在工作時(shí)間看在線視頻，或者玩游戲，使用訊雷或BT下載電影，占用了大量的網(wǎng)絡(luò)帶寬，而雙WAN口路由器沒有流量監(jiān)控與流量控制功能。經(jīng)過實(shí)際測(cè)試，在看“新華網(wǎng)”的在線視頻時(shí)，單一視頻流就會(huì)占用800KB以上的帶寬，理論上講，只要單位中有20個(gè)人看新華網(wǎng)的在線視頻，就會(huì)占用整個(gè)20M出口的帶寬。這些是導(dǎo)致網(wǎng)絡(luò)速度變慢的最主要原因。

對(duì)上述這些情況，可以通過打補(bǔ)丁、更新殺毒軟件等方法解決，主要內(nèi)容如下：

（1）使用微軟免費(fèi)產(chǎn)品WSUS

使用Microsoft提供的專門用于企業(yè)用戶的升級(jí)服務(wù)器-WSUS，統(tǒng)一為網(wǎng)絡(luò)中的計(jì)算機(jī)“打”補(bǔ)丁。采用WSUS，將原來每臺(tái)工作站都需要訪問Internet上的微軟補(bǔ)丁站點(diǎn)的方法改為直接訪問局域網(wǎng)內(nèi)的WSUS服務(wù)器的方式獲得補(bǔ)丁，即提高了更新補(bǔ)丁的速度，又節(jié)省了出口帶寬。例如，Windows XP SP3補(bǔ)丁大約300MB，如果單位中的每臺(tái)計(jì)算機(jī)都從Microsoft升級(jí)服務(wù)器獲得補(bǔ)丁并升級(jí)，以100臺(tái)工作站為例計(jì)算，需要下載300MB×100＝30GB，而采用W

SUS，只需要WSUS從Microsoft升級(jí)服務(wù)器下載300MB補(bǔ)丁，其他工作站直接從WSUS即可獲得補(bǔ)丁。

（2）使用ISA Server禁止無序下載、限制每臺(tái)計(jì)算機(jī)的并發(fā)連接數(shù)量

在雙WAN口路由器與三層交換機(jī)之間，增加ISA Server防火墻與代理服務(wù)器，使用ISA Server，禁止職工在上班時(shí)間使用BT、訊雷等軟件無限下載軟件、視頻，并限制每個(gè)計(jì)算機(jī)的并發(fā)連接數(shù)量。

（3）采用占用資源較小的殺毒軟件

網(wǎng)絡(luò)版殺毒軟件太貴，可以購買支持局域網(wǎng)升級(jí)的殺毒軟件，例如以前的金山毒霸、江民，現(xiàn)在的NOD32、卡巴斯基?？紤]到客戶端計(jì)算機(jī)配置比較低，可以選擇占用資源比較低的NOD32。這樣，改進(jìn)后的網(wǎng)絡(luò)拓?fù)淙鐖D2所示。

圖2 配置防火墻與升級(jí)服務(wù)器

3.3 最終方案

在確定了網(wǎng)站防防護(hù)、內(nèi)網(wǎng)安全與改造方案后，對(duì)這兩個(gè)方案進(jìn)行綜合考慮，同時(shí)，考慮到原來的網(wǎng)站與OA服務(wù)器，已經(jīng)使用多年，也到了升級(jí)的時(shí)候，而WSUS與NOD32服務(wù)器占用的資源并不是很多，單獨(dú)放置在新買的服務(wù)器中，對(duì)服務(wù)器的資源是一種浪費(fèi)。經(jīng)過多方面分析，我們推薦如下的綜合解決方案：

（1）購置一臺(tái)高配置的、具有磁盤冗余的服務(wù)器，采用虛擬化技術(shù)，在一臺(tái)服務(wù)器上實(shí)現(xiàn)兩臺(tái)虛擬機(jī)，其中一臺(tái)虛擬機(jī)放置政府網(wǎng)站與OA網(wǎng)站，另一臺(tái)虛擬機(jī)放置WSUS升級(jí)服務(wù)器與NOD32服務(wù)器。

（2）配置一臺(tái)多網(wǎng)卡的、安全穩(wěn)定的服務(wù)器，添加在雙WAN口路由器與三層交換機(jī)之間，安裝ISA Server 2006軟件，做防火墻與代理服務(wù)器。

（3）修改雙WAN口路由器的LAN端口地址，改為192.168.200.1，而原來的192.168.250.1用在新的ISA Server服務(wù)器接三層交換機(jī)的網(wǎng)卡上，ISA Server服務(wù)器接雙WAN口路由器的網(wǎng)卡設(shè)置IP地址192.168.200.2/24。在雙WAN口路由器上，設(shè)置TCP協(xié)議80端口轉(zhuǎn)發(fā)給192.168.200.2，再由ISA Server轉(zhuǎn)發(fā)到政府網(wǎng)站服務(wù)器192.168.1.8。

（4）網(wǎng)絡(luò)中的所有工作站，配置使用局域網(wǎng)內(nèi)的WSUS服務(wù)器進(jìn)行補(bǔ)丁的升級(jí)，統(tǒng)一卸載以前的殺毒軟件，改為統(tǒng)一使用NOD32，并指定從信息中心NOD32服務(wù)器進(jìn)行升級(jí)。

（5）在ISA Server上發(fā)布政府網(wǎng)站，并對(duì)網(wǎng)站進(jìn)行保護(hù)。

（6）遷移網(wǎng)站到虛擬機(jī)1中，并將網(wǎng)站分成用于Internet發(fā)布的外網(wǎng)網(wǎng)站、用于內(nèi)網(wǎng)管理的網(wǎng)站。

在方案實(shí)施中將詳細(xì)介紹每一個(gè)細(xì)節(jié)。如圖3所示，這是網(wǎng)絡(luò)最終的拓?fù)洹?/p>

圖3 A市政府網(wǎng)絡(luò)安全改造方案拓?fù)鋱D

3.4 方案特色

由于選擇了高配置的華碩服務(wù)器，以及使用VMware ESX Server虛擬化產(chǎn)品，以后再需要其他服務(wù)器時(shí)，不需要再購置新的硬件，只需要在VMware ESX Server中創(chuàng)建新的虛擬機(jī)即可以滿足應(yīng)用。在本次方案中，配置的華碩TS-700高配置服務(wù)器，可以同時(shí)運(yùn)行8～16臺(tái)虛擬機(jī)，足可以滿足現(xiàn)在以及將來一段時(shí)間的需求。同時(shí)，在采用虛擬化技術(shù)后，減少了服務(wù)器的購置需求，并減少了服務(wù)器在以后運(yùn)行中的耗電，近一步降低了產(chǎn)品的使用費(fèi)用，符合綠色環(huán)保、節(jié)能的需求。方案實(shí)施

在硬件、軟件到位后，開始對(duì)A市政府網(wǎng)絡(luò)進(jìn)行改造，在改造的過程中，會(huì)中斷網(wǎng)絡(luò)，為了不影響大家工作，建議在休息時(shí)間，例如周六或周日。整個(gè)網(wǎng)絡(luò)改造包括網(wǎng)絡(luò)硬件的安裝、調(diào)試與服務(wù)器的安裝調(diào)試，大約需要1天的時(shí)間。方案的實(shí)施步驟如下：

6.1 在雙WAN口路由器與三層交換機(jī)之間增加ISA Server防火墻

在新購置的華碩TS-500服務(wù)器上安裝32位的Windows Server 2003企業(yè)版與ISA Server 2006標(biāo)準(zhǔn)版，并接在雙WAN口路由器與三層交換機(jī)之間，相當(dāng)于在整個(gè)網(wǎng)絡(luò)中，增加一個(gè)“軟件”防火墻，然后修改配置雙WAN口路由器的配置，并轉(zhuǎn)發(fā)TCP的80端口到ISA Server，再由ISA Server轉(zhuǎn)發(fā)到政府網(wǎng)站服務(wù)器。主要步驟如下：

（1）安裝32位的Windows Server 2003企業(yè)版，在安裝的過程中，將硬盤劃分為3個(gè)分區(qū)。分區(qū)按照2：3：2的比例。安裝系統(tǒng)后，安裝驅(qū)動(dòng)程序。

（2）配置雙WAN口路由器，將LAN口的IP地址由192.168.250.1修改為192.168.200.1/24，并轉(zhuǎn)發(fā)TCP的80端口到192.168.200.2。并添加到192.168.0.0/18的靜態(tài)路由，指向192.168.200.2。

（3）將服務(wù)器接入網(wǎng)絡(luò)，其中一塊網(wǎng)卡接到雙WAN口路由器的LAN口（代替原來接三層交換機(jī)的端口），設(shè)置這塊網(wǎng)卡的名稱為“Internet”，設(shè)置IP地址為192.168.200.2/28，網(wǎng)關(guān)地址為192.168.200.1。設(shè)置另一塊的地址為192.168.250.1/24（不設(shè)置網(wǎng)關(guān)地址），將這塊網(wǎng)卡連接到三層交換機(jī)原來接雙WAN口路由器的端口，命名這塊網(wǎng)卡為L(zhǎng)AN。配置好后，使用ping命令，檢查網(wǎng)絡(luò)的連接是否正確，無誤之后，在命令提示符下鍵入如下的命令，以增加到192.168.0.0～192.168.63.0/24的路由：

route add –p 192.168.0.0 mask 255.255.192.0 192.168.250.2

（4）安裝ISA Server 2006，并將ISA Server 2006安裝在第2分區(qū)。安裝完成后，配置ISA Server 2006，其內(nèi)網(wǎng)地址是192.168.0.0～192.168.63.0/

24、192.168.250.0/

24、192.168.200.0/24網(wǎng)段。

（5）配置ISA Server 2006，允許“內(nèi)網(wǎng)”訪問“外網(wǎng)”，此時(shí)，局域網(wǎng)內(nèi)的計(jì)算機(jī)應(yīng)該可以訪問外網(wǎng)。

有關(guān)這些操作的詳細(xì)步驟，在我的博客中已經(jīng)介紹過，不再一一介紹，如有興趣，請(qǐng)參見我博客中的其他文章：

用ISA Server 2006做VPN服務(wù)器

使用ISA Server發(fā)布服務(wù)器

安全連接Internet-讓ISA Server 2006做為企業(yè)中的只有經(jīng)過身份認(rèn)證的才允許上網(wǎng)！-----------ISA Se

關(guān)于WSUS服務(wù)器的幾個(gè)問題 公司的網(wǎng)絡(luò)為何如此緩慢

使用ISA Server保護(hù)內(nèi)部的web服務(wù)器

第二篇：·網(wǎng)絡(luò)安全與防護(hù)

摘要： 隨著互聯(lián)網(wǎng)技術(shù)以及信息技術(shù)的飛速發(fā)展，網(wǎng)絡(luò)安全技術(shù)已經(jīng)影響到社會(huì)的政治、經(jīng)濟(jì)、文化和軍事等各個(gè)領(lǐng)域。網(wǎng)絡(luò)技術(shù)的成熟使得網(wǎng)絡(luò)連接更加容易，人們?cè)谙硎芫W(wǎng)絡(luò)帶來便利的同時(shí)，網(wǎng)絡(luò)的安全也日益受到威脅。安全性是互聯(lián)網(wǎng)技術(shù)中很關(guān)鍵的也是很容易被忽略的問題。曾經(jīng)，許多的組織因?yàn)樵谑褂镁W(wǎng)絡(luò)的過程中未曾意識(shí)到網(wǎng)絡(luò)安全性的問題，直到受到了資料安全的威脅，才開始重視和采取相應(yīng)的措施。可以舉例我們身邊的例子，如網(wǎng)上銀行。用戶可能沒有意識(shí)到網(wǎng)絡(luò)存在木馬程序的現(xiàn)象，未經(jīng)檢查軟件的安全性就放心使用，其結(jié)果自然是損失慘重了。故此，在網(wǎng)絡(luò)廣泛使用的今天，我們更應(yīng)該了解網(wǎng)絡(luò)安全，做好防范措施，做好網(wǎng)絡(luò)信息的保密性、完整性和可用性。

關(guān)鍵詞：網(wǎng)絡(luò)；安全；防范

引言

現(xiàn)今這個(gè)高速信息化的時(shí)代里，網(wǎng)絡(luò)作為計(jì)算機(jī)技術(shù)發(fā)

展到一定階段的必然產(chǎn)物，在生產(chǎn)生活中越來越發(fā)揮出主導(dǎo)和支配性作用。網(wǎng)絡(luò)的開放性和共享性在方便人們交換信息的同時(shí)，多節(jié)點(diǎn)的結(jié)構(gòu)使網(wǎng)絡(luò)也越來越容易受到攻擊。因此，網(wǎng)絡(luò)和信息安全技術(shù)也越來越受到人們的重視。

如何才能解決網(wǎng)絡(luò)安全問題，避免網(wǎng)絡(luò)環(huán)境遭到攻擊，使網(wǎng)絡(luò)得到良性發(fā)展，我們就要了解目前網(wǎng)絡(luò)安全可能存在的各種安全風(fēng)險(xiǎn)、網(wǎng)絡(luò)安全防范的定義和范圍以及在網(wǎng)絡(luò)環(huán)境下如何應(yīng)對(duì)這些不可控的風(fēng)險(xiǎn)。

1網(wǎng)絡(luò)安全的含義及特征

1.1 含義網(wǎng)絡(luò)安全是指：為保護(hù)網(wǎng)絡(luò)免受侵害而采取的措施的總和。當(dāng)正確的采用網(wǎng)絡(luò)安全措施時(shí)，能使網(wǎng)絡(luò)得到保護(hù)，正常運(yùn)行。

網(wǎng)絡(luò)安全的內(nèi)容遠(yuǎn)不只是防范黑客和病毒，它包括著廣泛的規(guī)則和慣例。網(wǎng)絡(luò)的安全內(nèi)容由數(shù)據(jù)的安全性和通信的安全性內(nèi)容組成。數(shù)據(jù)的安全性具體內(nèi)容包括阻止對(duì)數(shù)據(jù)的非授權(quán)的訪問、轉(zhuǎn)移、修改和破壞。通信的安全性要求在通信中采用保密安全性、傳輸安全性、輻射安全性等措施，并且要求對(duì)通信安全性信息采用物理安全性措施。

1.2 特征網(wǎng)絡(luò)安全根據(jù)其本質(zhì)的界定，應(yīng)具有以下基本特征：①機(jī)密性：是指信息不泄露給非授權(quán)的個(gè)人、實(shí)體和過程，或供其使用的特性。在網(wǎng)絡(luò)系統(tǒng)的每一個(gè)層次都存在著不同的機(jī)密性，因此也需要有相應(yīng)的網(wǎng)絡(luò)安全防范措施。在物理層，要保護(hù)系統(tǒng)實(shí)體的信息外露，在運(yùn)行層面，保證能夠?yàn)槭跈?quán)使用者正常的使用，并對(duì)非授權(quán)的人禁止使用，并有防范黑客，病毒等的惡行攻擊能力。②完整性：是指信息未經(jīng)授權(quán)不能被修改、不被破壞、不被插入、不延遲、不亂序和不丟失的特性。③可用性：是指授權(quán)的用戶能夠正常的按照順序使用的特征，也就是能夠保證授權(quán)使用者在需要的時(shí)候可以訪問并查詢資料。在物理層，要提高系統(tǒng)在惡劣環(huán)境下的工作能力。在運(yùn)行層面，要保證系統(tǒng)時(shí)刻能為授權(quán)人提供服務(wù)，保證系統(tǒng)的可用性，使得發(fā)布者無法否認(rèn)所發(fā)布的信息內(nèi)容。接受者無法否認(rèn)所接收的信息內(nèi)容，對(duì)數(shù)據(jù)抵賴采取數(shù)字簽名。

2網(wǎng)絡(luò)安全現(xiàn)狀分析

網(wǎng)絡(luò)目前的發(fā)展已經(jīng)與當(dāng)初設(shè)計(jì)網(wǎng)絡(luò)的初衷大相徑庭，安全問題已經(jīng)擺在了非常重要的位置上，安全問題如果不能解決，會(huì)嚴(yán)重地影響到網(wǎng)絡(luò)的應(yīng)用。網(wǎng)絡(luò)信息具有很多不利于網(wǎng)絡(luò)安全的特性，例如網(wǎng)絡(luò)的互聯(lián)性，共享性，開放性等，現(xiàn)在越來越多的惡性攻擊事件的發(fā)生說明目前網(wǎng)絡(luò)安全形勢(shì)嚴(yán)峻，不法分子的手段越來越先進(jìn)，系統(tǒng)的安全漏洞往往給他們可趁之機(jī)，因此網(wǎng)絡(luò)安全的防范措施要能夠應(yīng)付不同的威脅，保障網(wǎng)絡(luò)信息的保密性、完整

性和可用性。目前我國(guó)的網(wǎng)絡(luò)系統(tǒng)和協(xié)議還存在很多問題，還不夠健全不夠完善不夠安全。計(jì)算機(jī)和網(wǎng)絡(luò)技術(shù)具有的復(fù)雜性和多樣性，使得計(jì)算機(jī)和網(wǎng)絡(luò)安全成為一個(gè)需要持續(xù)更新和提高的領(lǐng)域。目前黑客的攻擊方法已超過了計(jì)算機(jī)病毒的種類，而且許多攻擊都是致命的。3網(wǎng)絡(luò)安全解決方案

要解決網(wǎng)絡(luò)安全，首先要明確實(shí)現(xiàn)目標(biāo)：①身份真實(shí)性：對(duì)通信實(shí)體身份的真實(shí)性進(jìn)行識(shí)別。②信息機(jī)密性：保證機(jī)密信息不會(huì)泄露給非授權(quán)的人或?qū)嶓w。③信息完整性：保證數(shù)據(jù)的一致性，防止非授權(quán)用戶或?qū)嶓w對(duì)數(shù)據(jù)進(jìn)行任何破壞。④服務(wù)可用性：防止合法擁護(hù)對(duì)信息和資源的使用被不當(dāng)?shù)木芙^。⑤不可否認(rèn)性：建立有效的責(zé)任機(jī)智，防止實(shí)體否認(rèn)其行為。⑥系統(tǒng)可控性：能夠控制使用資源的人或?qū)嶓w的使用方式。⑦系統(tǒng)易用性：在滿足安全要求的條件下，系統(tǒng)應(yīng)該操作簡(jiǎn)單、維護(hù)方便。⑧可審查性：對(duì)出現(xiàn)問題的網(wǎng)絡(luò)安全問題提供調(diào)查的依據(jù)和手段。

4網(wǎng)絡(luò)安全是一項(xiàng)動(dòng)態(tài)、整體的系統(tǒng)工程。

網(wǎng)絡(luò)安全有安全的操作系統(tǒng)、應(yīng)用系統(tǒng)、防病毒、防火墻、入侵檢測(cè)、網(wǎng)絡(luò)監(jiān)控、信息審計(jì)、通信加密、災(zāi)難恢復(fù)、安全掃描等多個(gè)安全組件組成，一個(gè)單獨(dú)的組件是無法確保信息網(wǎng)絡(luò)的安全性。從實(shí)際操作的角度出發(fā)網(wǎng)絡(luò)安全應(yīng)關(guān)注以下技術(shù)：

①防病毒技術(shù)。病毒因網(wǎng)絡(luò)而猖獗，對(duì)計(jì)算機(jī)系統(tǒng)安全威脅也最大，做好防護(hù)至關(guān)重要。應(yīng)采取全方位的企業(yè)防毒產(chǎn)品，實(shí)施層層設(shè)防、集中控制、以防為主、防殺結(jié)合的策略。②防火墻技術(shù)。通常是指設(shè)置在不同網(wǎng)絡(luò)（如可信任的企業(yè)內(nèi)部網(wǎng)和不可信的公共網(wǎng)）或網(wǎng)絡(luò)安全域之間的一系列部件的組合（包括硬件和軟件）。它是不同網(wǎng)絡(luò)或網(wǎng)絡(luò)安全域之間信息的唯一出入口，能根據(jù)企業(yè)的安全政策控制（允許、拒絕、監(jiān)測(cè)）出入網(wǎng)絡(luò)的信息流，且本身具有較強(qiáng)的抗攻擊能力。它是提供信息安全服務(wù)，實(shí)現(xiàn)網(wǎng)絡(luò)和信息安全的基礎(chǔ)設(shè)施。防火墻是目前保護(hù)網(wǎng)絡(luò)免遭黑客襲擊的有效手段，但也有明顯不足：無法防范通過防火墻以外的其它途徑的攻擊，不能防止來自內(nèi)部變節(jié)者和不經(jīng)心的用戶們帶來的威脅，也不能完全防止傳送已感染病毒的軟件或文件，以及無法防范數(shù)據(jù)驅(qū)動(dòng)型的攻擊。③入侵檢測(cè)技術(shù)。入侵檢測(cè)幫助系統(tǒng)對(duì)付網(wǎng)絡(luò)攻擊，擴(kuò)展系統(tǒng)管理員的安全管理能力，提高信息安全基礎(chǔ)結(jié)構(gòu)的完整性。它在不影響網(wǎng)絡(luò)性能的情況下對(duì)網(wǎng)絡(luò)進(jìn)行監(jiān)控，從而提供對(duì)內(nèi)部攻擊、外部攻擊和誤操作的實(shí)時(shí)保護(hù)。具體的任務(wù)是監(jiān)視、分析用戶及系統(tǒng)活動(dòng)；系統(tǒng)構(gòu)造和弱點(diǎn)審計(jì)；識(shí)別反映已進(jìn)攻的活動(dòng)規(guī)模并報(bào)警；異常行為模式的統(tǒng)計(jì)分析；評(píng)估重要系統(tǒng)和數(shù)據(jù)文件的完整性；操作系統(tǒng)的審計(jì)跟蹤管理，并識(shí)別用戶違反安全策略的行為。④安全掃描技術(shù)。這是又一類重要的網(wǎng)絡(luò)安全技術(shù)。安全掃描技術(shù)與防火墻、入侵檢測(cè)系統(tǒng)三者相互配合，對(duì)網(wǎng)絡(luò)安全的提高非常有效。通過對(duì)系統(tǒng)以及網(wǎng)絡(luò)的掃描，能夠?qū)ψ陨硐到y(tǒng)和網(wǎng)絡(luò)環(huán)境有一個(gè)整體的評(píng)價(jià)，并得出網(wǎng)絡(luò)安全風(fēng)險(xiǎn)級(jí)別，還能夠及時(shí)的發(fā)現(xiàn)系統(tǒng)內(nèi)的安全漏洞，并自動(dòng)修補(bǔ)。如果說防火墻和網(wǎng)絡(luò)監(jiān)控系統(tǒng)是被動(dòng)的防御手段，那么安全掃描就是一種主動(dòng)的防范措施，做到防患于未然。⑤網(wǎng)絡(luò)安全緊急響應(yīng)體系。網(wǎng)絡(luò)安全作為一項(xiàng)動(dòng)態(tài)工程，意味著它的安全程度會(huì)隨著時(shí)間的變化而發(fā)生變化。隨著時(shí)間和網(wǎng)絡(luò)環(huán)境的變化或技術(shù)的發(fā)展而不斷調(diào)整自身的安全策略，并及時(shí)組建網(wǎng)絡(luò)安全緊急響應(yīng)體系，專人負(fù)責(zé)，防范安全突發(fā)事件。⑥安全加密技術(shù)。加密技術(shù)的出現(xiàn)為全球電子商務(wù)提供了保證，從而使基于Internet上的電子交易系統(tǒng)成為了可能，因此完善的對(duì)稱加密和非對(duì)稱加密技術(shù)仍是21世紀(jì)的主流。對(duì)稱加密是常規(guī)的以口令為基礎(chǔ)的技術(shù)，加密運(yùn)算與解密運(yùn)算使用同樣的密鑰。不對(duì)稱加密，即加密密鑰不同于解密密鑰，加密密鑰公之于眾，誰都可以用，解密密鑰只有解密人自己知道。⑦網(wǎng)絡(luò)主機(jī)的操作系統(tǒng)安全和物理安全措施。防火墻作為網(wǎng)絡(luò)的第一道防線并不能完全保護(hù)內(nèi)部網(wǎng)絡(luò)，必須結(jié)合其他措施才能提高系統(tǒng)的安全水平。在防火墻之后是基于網(wǎng)絡(luò)主機(jī)的操作系統(tǒng)安全和物理安全措施。按照級(jí)別從低到高，分別是主機(jī)系統(tǒng)的物理安全、操作系統(tǒng)的內(nèi)核安全、系統(tǒng)服務(wù)安全、應(yīng)用服務(wù)安全和文件系統(tǒng)安全;同時(shí)主機(jī)安全檢查和漏洞修補(bǔ)以及系統(tǒng)備份安全

作為輔助安全措施。這些構(gòu)成整個(gè)網(wǎng)絡(luò)系統(tǒng)的第二道安全防線，主要防范部分突破防火墻以及從內(nèi)部發(fā)起的攻擊。系統(tǒng)備份是網(wǎng)絡(luò)系統(tǒng)的最后防線，用來遭受攻擊之后進(jìn)行系統(tǒng)恢復(fù)。在防火墻和主機(jī)安全措施之后，是全局性的由系統(tǒng)安全審計(jì)、入侵檢測(cè)和應(yīng)急處理機(jī)構(gòu)成的整體安全檢查和反應(yīng)措施。它從網(wǎng)絡(luò)系統(tǒng)中的防火墻、網(wǎng)絡(luò)主機(jī)甚至直接從網(wǎng)絡(luò)鏈路層上提取網(wǎng)絡(luò)狀態(tài)信息，作為輸人提供給入侵檢測(cè)子系統(tǒng)。入侵檢測(cè)子系統(tǒng)根據(jù)一定的規(guī)則判斷是否有入侵事件發(fā)生，如果有入侵發(fā)生，則啟動(dòng)應(yīng)急處理措施，并產(chǎn)生警告信息。而且，系統(tǒng)的安全審計(jì)還可以作為以后對(duì)攻擊行為和后果進(jìn)行處理、對(duì)系統(tǒng)安全策略進(jìn)行改進(jìn)的信息來源。

5結(jié)語

總之，網(wǎng)絡(luò)安全是一個(gè)綜合性的課題，涉及技術(shù)、管理、使用等許多方面，既包括信息系統(tǒng)本身的安全問題，也有物理的和邏輯的技術(shù)措施，一種技術(shù)只能解決一方面的問題，而不是萬能的。隨著計(jì)算機(jī)技術(shù)和網(wǎng)絡(luò)技術(shù)已深入到社會(huì)各個(gè)領(lǐng)域，人類社會(huì)各種活動(dòng)對(duì)計(jì)算機(jī)網(wǎng)絡(luò)的依賴程度已經(jīng)越來越大。增強(qiáng)社會(huì)安全意識(shí)教育，普及計(jì)算機(jī)網(wǎng)絡(luò)安全教育，提高計(jì)算機(jī)網(wǎng)絡(luò)安全技術(shù)水平，改善其安全現(xiàn)狀，成為當(dāng)務(wù)之急。參考文獻(xiàn)：

[1]黃怡強(qiáng)等.淺談軟件開發(fā)需求分析階段的主要任務(wù).中山大學(xué)學(xué)報(bào)論叢,2002(01).[2]胡道元.計(jì)算機(jī)局域網(wǎng)[M].北京:清華大學(xué)出版社,2001.[3]朱理森，張守連.計(jì)算機(jī)網(wǎng)絡(luò)應(yīng)用技術(shù)[M].北京:專利文獻(xiàn)出版社，2001.[4]張世永．網(wǎng)絡(luò)安全原理與應(yīng)用[M]．出版社．

[5]李明之．網(wǎng)絡(luò)安全與數(shù)據(jù)完整性指南[M]．機(jī)械出版社．

第三篇：網(wǎng)絡(luò)安全與防護(hù)

網(wǎng)絡(luò)安全與防護(hù)：

實(shí)踐環(huán)節(jié)考核大綱及考核內(nèi)容：

1.使用X-Scan 3.3掃描器掃描系統(tǒng)存在的漏洞

a.使用X-Scan掃描本機(jī)或者其他機(jī)器上存在的安全漏洞。

b.學(xué)會(huì)簡(jiǎn)單解釋掃描報(bào)告的含義

c.懂得設(shè)置掃描參數(shù)，設(shè)置指定IP范圍、掃描模塊

d.學(xué)會(huì)使用并解釋里面的traceroute工具、物理地址查詢工具、Ping工具

2.使用江民防火墻設(shè)置防火墻規(guī)則

a.學(xué)會(huì)安裝江民防火墻，了解保護(hù)策略中的防御策略、工作模式是什么

b.了解保護(hù)狀態(tài)下各選項(xiàng)的含義

c.學(xué)會(huì)使用網(wǎng)絡(luò)活動(dòng)功能，懂得用該功能查看本機(jī)聯(lián)網(wǎng)程序的信息，為制定防火

墻的規(guī)則提供參考依據(jù)。

d.了解流量與活動(dòng)報(bào)告

e.學(xué)會(huì)設(shè)置防火墻設(shè)置中的IP規(guī)則(如禁止對(duì)某網(wǎng)站數(shù)據(jù)報(bào)的進(jìn)出等)、程序規(guī)則、惡意網(wǎng)址、信任程序。學(xué)會(huì)使用里面的網(wǎng)絡(luò)包捕獲工具、進(jìn)程查看器

3.使用木馬克星或者360安全衛(wèi)士對(duì)本地內(nèi)存、硬盤進(jìn)行查殺木馬

4.使用與設(shè)置常見的殺毒軟件360殺毒

5.使用TrueCrypt

a.了解正常安裝與便攜式安裝的區(qū)別

b.創(chuàng)建、加載、卸載，加密卷、加密分區(qū)、隱藏加密卷、文件型加密卷

c.學(xué)會(huì)使用密碼，使用和生成密鑰文件

d.學(xué)會(huì)設(shè)置TrueCrypt、學(xué)會(huì)更改為中文界面

6.使用md5checker工具檢查文件的完整性

7.學(xué)會(huì)使用Windows自帶的任務(wù)管理查看或中止異常進(jìn)程

8.學(xué)會(huì)使用Syncback軟件對(duì)指定文件進(jìn)行同步或者備份，學(xué)會(huì)使用計(jì)劃任務(wù)調(diào)用備份或者同步任務(wù)。

第四篇：計(jì)算機(jī)網(wǎng)絡(luò)安全與防護(hù)

《計(jì)算機(jī)網(wǎng)絡(luò)安全與防護(hù)》

計(jì)算機(jī)網(wǎng)絡(luò)安全與防護(hù)

作者：某某君 日期：2010年6月

摘要：由于網(wǎng)絡(luò)的開放性等特征而使其容易遭受黑客攻擊、病毒侵犯，針對(duì)網(wǎng)絡(luò)安全面臨的問題，總結(jié)提出一些解決的對(duì)策。

關(guān) 鍵 詞：網(wǎng)絡(luò)安全；黑客；病毒；防火墻；訪問權(quán)限

計(jì)算機(jī)網(wǎng)絡(luò)具有連接形式多樣性、終端分布不均勻性和網(wǎng)絡(luò)的開放性、互聯(lián)性等特征，致使網(wǎng)絡(luò)易受黑客、惡意軟件和其它不軌的攻擊，例如，現(xiàn)在的病毒以破壞正常的網(wǎng)絡(luò)通訊、偷竊數(shù)據(jù)為目的的越來越多，它們和木馬相配合，可以控制被感染的工作站，并將數(shù)據(jù)自動(dòng)傳給發(fā)送病毒者，或者破壞工作站軟、硬件，其危害相當(dāng)惡劣，因此加強(qiáng)計(jì)算機(jī)網(wǎng)絡(luò)的安全建設(shè)已刻不容緩，只有足夠強(qiáng)的安全措施，才能確保網(wǎng)絡(luò)系統(tǒng)的安全性，網(wǎng)絡(luò)信息的保密性、完整性和可用性。

1網(wǎng)絡(luò)安全面臨的主要問題

計(jì)算機(jī)網(wǎng)絡(luò)所面臨的威脅大體可分為兩類：一是對(duì)竊取或破壞網(wǎng)絡(luò)中信息資源；二是對(duì)網(wǎng)絡(luò)中計(jì)算機(jī)系統(tǒng)的攻擊。影響計(jì)算機(jī)網(wǎng)絡(luò)的因素很多，歸納起來，針對(duì)網(wǎng)絡(luò)安全的威脅主要來自于如下四個(gè)方面：

1.1網(wǎng)絡(luò)黑客：指的是熟悉特定的電腦操作系統(tǒng)，并且具有較強(qiáng)的技術(shù)能力，惡意非法進(jìn)入他人計(jì)算機(jī)系統(tǒng)，黑客利用系統(tǒng)中的安全漏洞非法進(jìn)入他人計(jì)算機(jī)系統(tǒng)，可以利用個(gè)人技術(shù)查詢或惡意破壞重要數(shù)據(jù)、修改系統(tǒng)文件導(dǎo)致計(jì)算機(jī)系統(tǒng)癱瘓，黑客的攻擊程序危害性非常大，從某種意義上講，黑客對(duì)計(jì)算機(jī)網(wǎng)絡(luò)安全的危害甚至比一般的電腦病毒更為嚴(yán)重。

1.2配置不當(dāng)：安全配置不當(dāng)造成了安全漏洞，例如，對(duì)網(wǎng)絡(luò)服務(wù)器的訪問權(quán)限設(shè)置不當(dāng)，非法用戶對(duì)網(wǎng)絡(luò)服務(wù)器信息進(jìn)行非法調(diào)用和竊取。對(duì)防火墻軟件的配置不合理，例如只是對(duì)外設(shè)置防火墻保護(hù)，那么對(duì)內(nèi)幾乎不起什么作用，然而不幸的是，一般情況下有70％的攻擊是來自局域網(wǎng)的內(nèi)部用戶，所以怎樣防止來自內(nèi)部的攻擊是當(dāng)前局域網(wǎng)建設(shè)中的一個(gè)非常重要的方面。

1.3計(jì)算機(jī)病毒：目前網(wǎng)絡(luò)安全的頭號(hào)大敵是計(jì)算機(jī)病毒，它是編制或者在計(jì)算機(jī)程序中插入的破壞計(jì)算機(jī)功能或數(shù)據(jù)，影響計(jì)算機(jī)軟件、硬件的正常運(yùn)行并且能夠自我復(fù)制的一組計(jì)算機(jī)指令或程序代碼。計(jì)算機(jī)病毒具有傳染性、寄生性、隱蔽性、觸發(fā)性、破壞性幾大特點(diǎn)，病毒的種類也不斷變化，破壞范圍也有軟件

擴(kuò)大到硬件。新型病毒正向著更具破壞性、更加隱蔽、傳染率更高、傳播速度更快、適應(yīng)平臺(tái)更廣的方向發(fā)展。

1.4安全意識(shí)不強(qiáng)：用戶口令設(shè)置過于簡(jiǎn)單，或用戶的訪問權(quán)限設(shè)置不當(dāng)，或?qū)⒐芾韱T的帳號(hào)隨意轉(zhuǎn)借他人或與別人共享等都會(huì)對(duì)網(wǎng)絡(luò)安全帶來威脅。將一些處理過的機(jī)密文件隨意存放在工作站的共享文件夾內(nèi)，或在硬盤上留有備份，這就有可能使得某些重要文件在局域網(wǎng)上隨意地流傳，為網(wǎng)絡(luò)系統(tǒng)留下了安全隱患。主服務(wù)器上的數(shù)據(jù)庫存放著所有重要數(shù)據(jù)，不能及時(shí)進(jìn)行數(shù)據(jù)備份，如果這個(gè)數(shù)據(jù)庫遭到破壞，將會(huì)遭到無法挽回的損失。

2網(wǎng)絡(luò)安全性的解決方法

2.1有效防護(hù)黑客攻擊：WEB、FTP、DNS這些服務(wù)器較容易引起黑客的注意，并遭受攻擊。從服務(wù)器自身安全來講，只開放其基本的服務(wù)端口，關(guān)閉所有無關(guān)的服務(wù)端口。如DNS服務(wù)器只開放TCP／UDP42端口，WEB服務(wù)器只開放TCP80端口。FTP服務(wù)器只開放TCP21端口；在每一臺(tái)服務(wù)器上都安裝系統(tǒng)監(jiān)控軟件和反黑客軟件，提供安全防護(hù)作用并識(shí)別惡意攻擊一旦發(fā)現(xiàn)攻擊，會(huì)通過中斷用戶進(jìn)程和掛起用戶帳號(hào)來阻止非法攻擊；有效利用服務(wù)器自動(dòng)升級(jí)功能定期對(duì)服務(wù)器進(jìn)行安全漏洞掃描，管理員對(duì)及時(shí)網(wǎng)絡(luò)系統(tǒng)進(jìn)行打補(bǔ)?。粚?duì)于關(guān)鍵的服務(wù)器，如計(jì)費(fèi)服務(wù)器、中心數(shù)據(jù)庫服務(wù)器等，可用專門的防火墻保護(hù)，或放在受保護(hù)的網(wǎng)管網(wǎng)段內(nèi)。

為了從物理上保證網(wǎng)絡(luò)的安全性，特別是防止外部黑客入侵，可以將內(nèi)部網(wǎng)絡(luò)中所分配的IP地址與電腦網(wǎng)卡上的MAC地址綁定起來，使網(wǎng)絡(luò)安全系統(tǒng)在偵別內(nèi)部信息節(jié)點(diǎn)時(shí)具有物理上的唯一性。

2.2制定有效配置方案：應(yīng)通過合理正確的授權(quán)來限制用戶的權(quán)限，這是在辦公用戶中特別容易被疏忽的，如局域網(wǎng)中的共享授權(quán)，經(jīng)常會(huì)被用戶設(shè)置成對(duì)任何人開放且完全控制，這非常不安全也是很危險(xiǎn)的。正確的方法是針對(duì)不同的用戶設(shè)置相應(yīng)的只讀、可讀寫、可完全控制等權(quán)限，只有指定用戶才會(huì)有相應(yīng)權(quán)限，既保護(hù)了數(shù)據(jù)，又建立了合理的共享。

防火墻配置方案如下：將網(wǎng)絡(luò)劃分為三個(gè)部分，Internet(外網(wǎng))、DMZ區(qū)(非軍事區(qū))、內(nèi)網(wǎng)。Internet(外網(wǎng))和DMA區(qū)通過外部路由器隔離；DMZ區(qū)和內(nèi)部網(wǎng)絡(luò)通過內(nèi)部路由器隔離。代理服務(wù)器、E-mail服務(wù)器、各種服務(wù)器(包括Web服務(wù)器、Ftp服務(wù)器等)、以及其它需要進(jìn)行訪問控制的系統(tǒng)都放在DMZ中。外部網(wǎng)絡(luò)非法入侵者要攻破此防火墻系統(tǒng)偵聽到內(nèi)部網(wǎng)上的數(shù)據(jù)，必須突破外部路由器和內(nèi)部路由器才能侵襲內(nèi)部網(wǎng)絡(luò)，這樣大大提高了內(nèi)部網(wǎng)絡(luò)的安全級(jí)別。配置防火墻的流量控制相關(guān)參數(shù)，實(shí)現(xiàn)不同時(shí)段、不同子網(wǎng)的不同帶寬流量設(shè)置，有效防止內(nèi)部用戶在網(wǎng)絡(luò)使用高峰時(shí)期大量占用帶寬而導(dǎo)致網(wǎng)絡(luò)癱瘓。

為了保證網(wǎng)絡(luò)內(nèi)部安全還應(yīng)該利用Vlan技術(shù)將內(nèi)部網(wǎng)絡(luò)分成幾個(gè)子網(wǎng)，網(wǎng)絡(luò)分段通常被認(rèn)為是控制網(wǎng)絡(luò)廣播風(fēng)暴的一種手段，但其實(shí)也是保護(hù)網(wǎng)絡(luò)安全的一項(xiàng)重要措施。其目的就是將非法用戶與敏感的網(wǎng)絡(luò)資源相互隔離，從而防止可能的非法偵聽，網(wǎng)絡(luò)分段用來實(shí)現(xiàn)對(duì)局域網(wǎng)的安全控制，也防止了內(nèi)部網(wǎng)用戶對(duì)網(wǎng)絡(luò)服務(wù)器的攻擊。

2.3建立病毒防護(hù)體系：對(duì)于一個(gè)網(wǎng)絡(luò)系統(tǒng)而言，絕不能簡(jiǎn)單的使用單機(jī)版的病毒防治軟件，必須有針對(duì)性地選擇性能優(yōu)秀的專業(yè)級(jí)網(wǎng)絡(luò)殺毒軟件，以建立實(shí)時(shí)的、全網(wǎng)段的病毒防護(hù)體系，是網(wǎng)絡(luò)系統(tǒng)免遭病毒侵?jǐn)_的重要保證，用戶可以根據(jù)本網(wǎng)絡(luò)的拓?fù)浣Y(jié)構(gòu)來選擇合適的產(chǎn)品，及時(shí)升級(jí)殺毒軟件的病毒庫，并在相關(guān)的病毒防治網(wǎng)站上及時(shí)下載特定的防殺病毒工具查殺頑固性病毒，這樣才能有較好病毒防范能力。

2.4加強(qiáng)網(wǎng)絡(luò)安全意識(shí)：加強(qiáng)網(wǎng)絡(luò)中用戶名及密碼的安全：必須為系統(tǒng)建立用戶名和相應(yīng)的密碼，絕不能使用默認(rèn)用戶或不加密碼；密碼的位數(shù)不要短于6位，最好使用大、小寫字母、標(biāo)點(diǎn)和數(shù)字的混合集合，并定期更改密碼；不要所有的地方都用一個(gè)密碼，不要把自己的密碼寫在別人可以看到的地方，最好是強(qiáng)記在腦子里，不要在輸入密碼的時(shí)候讓別人看到，更不能把自己的密碼告訴別人；重要崗位人員調(diào)離時(shí)，應(yīng)進(jìn)行注銷，并更換系統(tǒng)的用戶名和密碼，移交全部技術(shù)資料。對(duì)重要數(shù)據(jù)信息進(jìn)行必要的加密和認(rèn)證技術(shù)，以保證萬一數(shù)據(jù)信息泄漏也能防止信息內(nèi)容泄露。

對(duì)于網(wǎng)絡(luò)中的硬件設(shè)備、軟件、數(shù)據(jù)等都有冗余備份，并具有在較短時(shí)間內(nèi)恢復(fù)系統(tǒng)運(yùn)行的能力。對(duì)于存放重要數(shù)據(jù)庫的服務(wù)器，應(yīng)選用性能穩(wěn)定的專用服務(wù)器，并且配備UPS等相關(guān)的硬件應(yīng)急保障設(shè)備，硬盤最好作Raid備份，并定時(shí)對(duì)數(shù)據(jù)作光盤備份。

總之，要想建立一個(gè)高效、穩(wěn)定、安全的計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)，不能僅僅依靠防火墻、殺毒軟件等單個(gè)的系統(tǒng)，需要仔細(xì)考慮系統(tǒng)的安全需求，將系統(tǒng)配置、認(rèn)證技術(shù)、加密技術(shù)等各個(gè)方面工作結(jié)合在一起才能夠?qū)崿F(xiàn)。當(dāng)然，絕對(duì)安全可靠的網(wǎng)絡(luò)系統(tǒng)是不存在的。我們采用以上措施來保護(hù)網(wǎng)絡(luò)安全，只不過是為了讓我們的網(wǎng)絡(luò)數(shù)據(jù)在面臨威脅的時(shí)候能將所遭受到的損失降到最低。

參考文獻(xiàn)：

[1]孫學(xué)軍,喻梅.《計(jì)算機(jī)網(wǎng)絡(luò)》.電子工業(yè)出版社，2003

[2]鄭再欣.“淺談?dòng)?jì)算機(jī)網(wǎng)絡(luò)安全及防范”.《廣東公安科技》,2004

[3]徐翼超.“計(jì)算機(jī)網(wǎng)絡(luò)安全問題初探”.《交通企業(yè)管理》，2004

第五篇：《網(wǎng)絡(luò)安全與防護(hù)》說課稿

《網(wǎng)絡(luò)安全與防護(hù)》說課稿

一、計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)專業(yè)崗位-能力-課程結(jié)構(gòu)圖

計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)專業(yè)的培養(yǎng)目標(biāo)：培養(yǎng)擁護(hù)黨的基本路線，德、智、體、美等方面全面發(fā)展，具有良好的科學(xué)素養(yǎng)，掌握計(jì)算機(jī)網(wǎng)絡(luò)基本技能，具備網(wǎng)絡(luò)工程組織與施工技能，具備網(wǎng)絡(luò)管理與維護(hù)技能，成為具有計(jì)算機(jī)網(wǎng)絡(luò)組網(wǎng)與設(shè)備調(diào)試、網(wǎng)絡(luò)系統(tǒng)集成與維護(hù)以及網(wǎng)頁設(shè)計(jì)與網(wǎng)站維護(hù)能力，適應(yīng)崗位能力要求的高素質(zhì)技能型人才。

對(duì)應(yīng)的崗位：網(wǎng)絡(luò)設(shè)計(jì)與施工技術(shù)員、網(wǎng)絡(luò)管理與維護(hù)技術(shù)員。能力目標(biāo)：網(wǎng)絡(luò)工程能力、網(wǎng)絡(luò)基礎(chǔ)能力、網(wǎng)絡(luò)管理能力。專業(yè)課程：《網(wǎng)絡(luò)安全與防護(hù)》、《網(wǎng)絡(luò)系統(tǒng)管理》、《綜合布線與工程》、《網(wǎng)絡(luò)設(shè)備安裝與配置》、《網(wǎng)絡(luò)工程制圖（Visio或AutoCAD）》、《網(wǎng)頁設(shè)計(jì)》、《網(wǎng)絡(luò)技術(shù)通識(shí)》、《計(jì)算機(jī)組裝與維修》

二、課程在人才培養(yǎng)方案中的地位、作用、性質(zhì)

1、專業(yè)建設(shè)是為人才培養(yǎng)目標(biāo)服務(wù)，課程建設(shè)是為專業(yè)課程體系服務(wù)。網(wǎng)絡(luò)專業(yè)從“網(wǎng)絡(luò)工程能力”、“網(wǎng)絡(luò)基礎(chǔ)能力”、“網(wǎng)絡(luò)管理能力”三個(gè)不同角度分別設(shè)置相應(yīng)的課程，如果用一棵樹形容網(wǎng)絡(luò)專業(yè)的課程，《網(wǎng)絡(luò)安全與防護(hù)》課程相當(dāng)于樹干，起到承上啟下的作用，無論“建網(wǎng)”中的設(shè)備管理，還是“用網(wǎng)”中的網(wǎng)絡(luò)維護(hù)，都需要“網(wǎng)絡(luò)管理能力”中的《網(wǎng)絡(luò)安全與防護(hù)》課程的技能和知識(shí)作支撐。

2、《網(wǎng)絡(luò)安全與防護(hù)》也對(duì)專業(yè)學(xué)習(xí)領(lǐng)域中的其它課程有有更好的促進(jìn)作用，把《網(wǎng)絡(luò)安全與防護(hù)》應(yīng)用這些后續(xù)課程中，“建安全的網(wǎng)”為用戶提供“安全的網(wǎng)絡(luò)應(yīng)用”，所以《網(wǎng)絡(luò)安全與防護(hù)》課程在網(wǎng)絡(luò)技術(shù)專業(yè)整體課程中也是起著“核心”的作用，是專業(yè)學(xué)習(xí)領(lǐng)域中的必修課。

3、《網(wǎng)絡(luò)安全與防護(hù)》是計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)專業(yè)人才培養(yǎng)方案中專業(yè)學(xué)習(xí)領(lǐng)域中的必修課,屬于B類課程。

三、課程教學(xué)目標(biāo)（1）能力目標(biāo)

能夠解決不同的網(wǎng)絡(luò)應(yīng)用環(huán)境中遇到的信息安全問題，成為具備基本安全知識(shí)和技能的應(yīng)用型人才，能夠正確配置個(gè)人主機(jī)安全，能夠規(guī)劃不同應(yīng)用網(wǎng)絡(luò)環(huán)境中的安全方案，并能運(yùn)用包括產(chǎn)品安全設(shè)置、系統(tǒng)安全策略制定、安全工具使用在內(nèi)的安全防護(hù)技術(shù)。

（2）知識(shí)目標(biāo)

掌握網(wǎng)絡(luò)安全技術(shù)的概念與相關(guān)知識(shí)，了解網(wǎng)絡(luò)安全相關(guān)標(biāo)準(zhǔn)，對(duì)于各類網(wǎng)絡(luò)環(huán)境所使用的各類技術(shù)有正確的認(rèn)識(shí)。

（3）態(tài)度目標(biāo)

遵守國(guó)家關(guān)于信息安全的相關(guān)法律法規(guī)，不利用所掌握的技術(shù)進(jìn)行入侵攻擊方面的活動(dòng)，有安全需求溝通的能力。

（4）總體目標(biāo)

培養(yǎng)掌握較全面的網(wǎng)絡(luò)安全防護(hù)技能，同時(shí)具備較高的安全素養(yǎng)，能夠從事企事業(yè)單位的網(wǎng)絡(luò)安全與管理的合格從業(yè)人員。

四、課程內(nèi)容

本課程以個(gè)人主機(jī)、服務(wù)器、局域網(wǎng)三個(gè)學(xué)習(xí)情景為背景，以任務(wù)驅(qū)動(dòng)：威脅分析—策略—防護(hù)措施為主線，主要講解了以下十五個(gè)典型任務(wù)：網(wǎng)絡(luò)攻擊與防范；賬號(hào)安全設(shè)置；文件系統(tǒng)安全設(shè)置；刪除默認(rèn)共享、刪除IPC$空連接；關(guān)閉危險(xiǎn)端口和不用服務(wù)；軟件防火墻的使用；防病毒軟件的安裝、設(shè)置和使用；入侵檢測(cè)系統(tǒng)的安裝與使用；加密軟件的安裝與使用；組策略配置；通信安全設(shè)置；應(yīng)用服務(wù)的安全設(shè)置；網(wǎng)絡(luò)監(jiān)聽與防護(hù)；防火墻配置等。

五、教學(xué)方法

根據(jù)每個(gè)任務(wù)的內(nèi)容特點(diǎn)，結(jié)合計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)專業(yè)學(xué)生的特點(diǎn)和工學(xué)結(jié)合的要求，以真實(shí)案例進(jìn)行引導(dǎo)，綜合運(yùn)用基于工作過程的任務(wù)驅(qū)動(dòng)法、案例分析法、分組討論法、角色扮演法等教學(xué)方法開展教學(xué)。

1、案例分析法：以真實(shí)發(fā)生的安全事件為背景，引導(dǎo)學(xué)生分析事件中存在的安全風(fēng)險(xiǎn)及造成的影響，制定安全防護(hù)計(jì)劃，選擇安全技術(shù)。

2、師生互動(dòng)討論法、分組實(shí)驗(yàn)法：對(duì)于難度較大的任務(wù)，為了降低教學(xué)難度，先由師生互動(dòng)對(duì)任務(wù)進(jìn)行討論，以引導(dǎo)學(xué)生正確認(rèn)識(shí)安全風(fēng)險(xiǎn)及相關(guān)的安全防護(hù)技術(shù)，之后采用分組實(shí)施法開展協(xié)作學(xué)習(xí)，學(xué)生強(qiáng)弱搭配，幾個(gè)人一組，一人操作，其他人在旁邊給出參考意見，完成后交換角色，最后教師總結(jié)歸納。以此提高學(xué)生的學(xué)習(xí)積極性和參與意識(shí)，降低學(xué)習(xí)的難度，培養(yǎng)學(xué)生的合作精神和團(tuán)隊(duì)意識(shí)。

3、角色扮演法：網(wǎng)絡(luò)安全教學(xué)任務(wù)的實(shí)施多是需要不同的角色，多方共同參與的，以體驗(yàn)防護(hù)技術(shù)的實(shí)施效果，比如使用sniffer抓包。

4、虛擬訓(xùn)練：如利用實(shí)訓(xùn)室設(shè)備模擬一個(gè)網(wǎng)絡(luò)環(huán)境。

5、現(xiàn)場(chǎng)演示：如部分安全設(shè)置可在多媒體教室完成。

6、以賽促學(xué)：如分組比賽、知識(shí)競(jìng)賽等。

六、教學(xué)手段

1、多媒體教學(xué)

2、FLASH動(dòng)畫演示

3、網(wǎng)絡(luò)實(shí)訓(xùn)室實(shí)訓(xùn)

4、網(wǎng)絡(luò)資源

5、頂崗實(shí)習(xí)

6、課外閱讀專業(yè)雜志

七、課程考核

本課程實(shí)施綜合考評(píng)，不僅理論與技能結(jié)合，并且注重學(xué)習(xí)態(tài)度和最終成績(jī)的平衡，注重過程考核，以全面綜合地評(píng)定學(xué)生的能力。

考核辦法：

1、過程考核：能力訓(xùn)練任務(wù)的學(xué)習(xí)過程中，對(duì)學(xué)生進(jìn)行任務(wù)的安排，根據(jù)每個(gè)任務(wù)的完成情況、出勤情況與表現(xiàn)，作為學(xué)生的過程考核成績(jī)，本部分占總成績(jī)的60%。

2、期末考試：主要考察學(xué)生對(duì)理論知的掌握程度，本部分成績(jī)占總成績(jī)的40%。

八、教學(xué)條件

校內(nèi)實(shí)訓(xùn)室：網(wǎng)絡(luò)實(shí)訓(xùn)室現(xiàn)有36臺(tái)學(xué)生用電腦、1臺(tái)教師機(jī)、1臺(tái)天融信防火墻、1臺(tái)阿姆瑞特網(wǎng)關(guān)、1臺(tái)路由器、多臺(tái)交換機(jī)等網(wǎng)絡(luò)設(shè)備，這些設(shè)備通過雙絞線連接形成一個(gè)小型局域網(wǎng)，并且與校園網(wǎng)連接，可訪問Internet網(wǎng)，完全可滿足本門課程中涉及的實(shí)訓(xùn)項(xiàng)目的要求。

九、怎么教

1、任務(wù)分析

2、技能目標(biāo)

3、知識(shí)鏈接

4、操作步驟

5、課堂討論

6、拓展

十、“教學(xué)做一體化”案例

十一、教學(xué)團(tuán)隊(duì)

十二、教材加工的特點(diǎn)

主要以《網(wǎng)絡(luò)安全基礎(chǔ)與實(shí)訓(xùn)》為主，參考了《網(wǎng)絡(luò)安全技術(shù)與實(shí)訓(xùn)》、《網(wǎng)絡(luò)安全與管理》、《網(wǎng)絡(luò)安全》等教材，按照項(xiàng)目導(dǎo)向、任務(wù)驅(qū)動(dòng)的教學(xué)方法，圍繞三個(gè)教學(xué)情境：個(gè)人主機(jī)、服務(wù)器、局域網(wǎng)，選擇了15個(gè)任務(wù)，按照15個(gè)任務(wù)的內(nèi)容要求，結(jié)合教學(xué)做一體化、重在培養(yǎng)能力對(duì)教材內(nèi)進(jìn)行了加工。

加工后的特點(diǎn)：

1、符合教改要求---基于工作過程的教學(xué)模式

2、摒棄了填鴨式的理論教學(xué)模式，著重培養(yǎng)學(xué)生的能力---實(shí)現(xiàn)“能力本位”

3、學(xué)習(xí)的內(nèi)容是工作內(nèi)容---工學(xué)結(jié)合

4、以任務(wù)為載體實(shí)現(xiàn)“教學(xué)做”一體化

5、學(xué)即能用，激發(fā)了學(xué)生學(xué)習(xí)興趣

6、實(shí)訓(xùn)以實(shí)用為目的，理論以夠用為標(biāo)準(zhǔn)